Matriz de comportamiento de administración remota
por Nitasha Verma
Introducción
Este documento contiene la matriz de escenarios para la administración remota para el administrador de IIS y el comportamiento en runtime de cada uno. Ayuda a comprender los distintos escenarios de administración y a solucionar problemas (401s).
Un requisito previo para la administración remota a través de la interfaz de usuario de IIS está iniciando el servicio de administración remota (WMSVC) en la máquina del servidor. Un buen artículo para esta información es Administración remota para el administrador de IIS.
Reglas generales de control que son válidas para cada elemento de la matriz:
Redirection.config, applicationHost.config y administration.config siempre se leen (incluso para conexiones de sitio y aplicación).
Redirection.config siempre se lee con la identidad en la que se ejecuta el servicio WMSVC (de forma predeterminada: NT Service\WMSVC).
Si configurationRedirection está habilitado en Redirection.config, haga lo siguiente:
- Los archivos de configuración del servidor (applicationHost.config, administration.config) siempre se leen mediante el nombre de usuario y la contraseña especificados en redirection.config
Si configurationRedirection está deshabilitado, haga lo siguiente:
- Los archivos de configuración del servidor (applicationHost.config, administration.config) siempre se leen mediante la identidad en la que se ejecuta WMSVC (NT Service\WMSVC de forma predeterminada)
La interfaz de usuario no hace nada especial al intentar leer Root web.config, el homólogo ASP.NET de applicationHost.config
Matriz de comportamiento de administración remota
| Conexión como: | administrador de Windows | Usuario de Windows | Usuario del administrador de IIS |
|---|---|---|---|
| Experiencia predeterminada | Conexión de servidor: la interfaz de usuario suplanta como administrador de Windows al escribir en los archivos de configuración del servidor (applicationHost.config, administration.config y root web.config) | Conexión de servidor: - N/A | Conexión de servidor: - N/A |
| Conexión de sitio: la interfaz de usuario suplanta como administrador de Windows al leer y escribir en el sitio web.config | Conexión de sitio: la interfaz de usuario suplanta como el usuario de Windows al leer y escribir en el sitio web.config | Conexión de sitio: - El archivo web.config del sitio se lee y escribe en mediante la identidad en la que se ejecuta WMSVC (NT Service\WMSVC) | |
| Conexión de la aplicación: : igual que la conexión de sitio | Conexión de la aplicación: : igual que la conexión de sitio | Conexión de la aplicación: : igual que la conexión de sitio | |
| Sitio o aplicación en UNC | Conexión de servidor: la interfaz de usuario suplanta como administrador de Windows al escribir en los archivos de configuración del servidor(applicationHost.config, administration.config y root web.config) | Conexión de servidor: - N/A | Conexión de servidor: - N/A |
| Conexión de sitio: - Si se especifican credenciales UNC para el recurso compartido UNC, la interfaz de usuario leerá el archivo web.config del sitio con esas credenciales UNC y escribirá como administrador de Windows: si no se especifican credenciales UNC para el recurso compartido UNC, la interfaz de usuario leerá y escribirá en el archivo web.config del sitio como administrador de Windows | Conexión de sitio: - Si se especifican credenciales UNC para el recurso compartido UNC, la interfaz de usuario leerá el archivo web.config del sitio con esas credenciales UNC y escribirá como usuario de Windows: si no se especifican credenciales UNC para el recurso compartido UNC, la interfaz de usuario leerá y escribirá en el archivo web.config del sitio como usuario de Windows | Conexión de sitio: - Si se especifican credenciales UNC para el recurso compartido UNC, la interfaz de usuario leerá el archivo web.config del sitio con esas credenciales UNC y escribirá con la identidad en la que se ejecuta WMSVC (NT Service\WMSVC): si no se especifican credenciales UNC para el recurso compartido UNC, la interfaz de usuario leerá y escribirá en el sitio web.config con la identidad en la que se ejecuta WMSVC (SERVICIO NT\WMSVC) *vea la siguiente nota | |
| Conexión de la aplicación: : igual que la conexión de sitio | Conexión de la aplicación: : igual que la conexión de sitio | Conexión de la aplicación: : igual que la conexión de sitio * vea la siguiente nota | |
| El redireccionamiento de configuración está habilitado en los archivos redirection.Config: applicationHost.config administration.config | Conexión de servidor: - Los archivos de servidor se leen mediante el nombre de usuario y la contraseña especificados en redirection.config: la interfaz de usuario suplanta como administrador de Windows al escribir en los archivos de configuración del servidor (applicationHost.config, administration.config y root web.config) | Conexión de servidor: - N/A | Conexión de servidor: - N/A |
| Conexión de sitio: la interfaz de usuario suplanta como administrador de Windows al leer y escribir en el sitio web.config | Conexión de sitio: la interfaz de usuario suplanta como el usuario de Windows al leer y escribir en el sitio web.config | Conexión de sitio: - La configuración del sitio se lee y se escribe en como la identidad en la que se ejecuta WMSVC (NT Service\WMSVC) | |
| Conexión de la aplicación: : igual que la conexión de sitio | Conexión de la aplicación: : igual que la conexión de sitio | Conexión de la aplicación: : igual que la conexión de sitio |
Nota:
Si NT Service\WMSVC no tiene permisos para el recurso compartido UNC, que será el caso de los recursos compartidos UNC en otra máquina, (WMSVC no significa nada fuera del ámbito de una máquina local), actualice la identidad de Web Management Service (services.msc) para que sea un usuario de dominio que tenga acceso tanto al servidor como al recurso compartido UNC.
Importante
No use una identidad de servicio de red; es un posible riesgo de seguridad, ya que es la identidad bajo la que se ejecutan las aplicaciones ASP.NET. Si usa ACL para esta cuenta, abrirá el contenido o la configuración para que cualquier persona acceda a través de una página aspx.